Você está na página 1de 10

1

SINOPSE DO CASE: Segmentação de Rede e Roteamento entre


Redes1
Guilherme Marques Bezerra Sousa2
Rafael de Souza Cunha3

1. DESCRIÇÃO DO CASO

A empresa “UNDB”, possui uma rede interna (LAN), cuja qual possui
vários computadores sem nenhum tipo de segmentação. A rede possui vários hosts e
equipamentos. A LAN, é oferecida pelo switch da empresa, é possível realizar a divisão
de rede visando uma melhor organização, gerenciamento, segurança e etc?

Figura 1 Retirada do Case

1
Case apresentado à disciplina Infraestrutura de Redes do Centro Universitário UNDB.
2
Aluno do 6° Período, do curso de Sistema de Informação, da UNDB.
3
Professor, Mestre, Orientador.
2. IDENTIFICAÇÃO E ANÁLISE DO CASO
2.1 DESCRIÇÃO DAS DECISÕES POSSÍVEIS

 A solução principal é que deve ser feita imediatamente é segmentar as VLAN’s, de


acordo com a imagem, a UNDB só conta com um Switch, e diversas VLAN’s, por usar um Switch
não ocorrerá o problema de colisão que é comum em Hubs, mas ainda existe alguns outros que
existem por usar somente um Switch.
 Outro ponto muito importante é a Segurança, uma das características que mais deve
ser levada em conta quando se monta uma VLan - já que permite dispositivos de diferentes
segmentos físicos em uma mesma VLan podem se comunicar sem que dispositivos físicos tenham
acesso. Caso a VLan possua um roteador, o mesmo possui funcionalidades de filtragem, segurança
e prioridade, antes de chegarem ao destino, assim criando um lugar seguro para acessar os recursos
da rede.
 Se usando VLan’s bem configuradas e com a quantidade certa de Switchs, é
possível criar políticas e critérios para conectar ou desconectar automaticamente de uma rede
virtual. O que é altamente recomendada para grandes redes, por facilitar a administração e ser mais
flexível. No problema em questão, são 3 VLan’s diferentes, com um só switch, e possuem mais de
1000 hosts, logo é ideal adotar o método citado.

2.2 ARGUMENTOS CAPAZES DE FUNDAMENTAR CADA DECISÃO

 A solução principal que deve ser feita imediatamente é segmentar as VLAN’s,


de acordo com a imagem. A UNDB só conta com um Switch, e diversas VLAN’s, por usar
um Switch não ocorrerá o problema de colisão que é comum em Hubs, mas ainda existe
alguns outros que existem por usar somente um Switch.
Uma VLan é comumente descrita como um domínio de broadcast, pelo fato de lançar
um pacote de difusão na rede local, para todos os pontos de acesso ativo. Por essa característica a
segmentação de redes surgiu, por vários motivos, mas principalmente limitar a disseminação de
broadcast em uma rede local. O método consiste em inserir dispositivos na rede, roteadores, que
bloqueiam a passam de broadcast, os mesmos também tem a função de interligar diferentes Lans.
Caso o problema seja o custo, é possível alcançar a mesma segmentação e segurança com uma
solução de baixo custo. O principal atributo de uma VLan é o fato de usada quando necessita-se
separar o logico do físico.
Figura 2 Imagem Autoral

De acordo com a imagem – ilustrando o que hoje a UNDB possui - um Switch, com 3
VLan’s criada, as mensagens só podem ser recebidas por quem é da mesma VLan, o problema com
a distribuição de porta é algo trabalhoso, por isso se faria uso de um HUB para criar um servidor
DHCP para distribuição de IP no range solicitado.
O primeiro passo é configurar os Switchs, no método usando, usaremos 3 switches,
com conexão a um servidor DHCP para a distribuição dos IP’s automaticamente, poupando
também, e tendo um melhor controle e organização. No primeiro Switch usamos o seguinte

Figura 3 Imagem Autoral

comando:
O primeiro comando cria uma segunda VLan além da Default no Switch; O segundo
atribui um nome para a VLan, na foto primeiramente atribui VLan2, mas depois troquei para Verde
de acordo com as cores do Case; O terceiro em conjunto com o quarto, atribuem um Range de
portas para a Vlan requerida, nesse caso, atribuímos as portas 9 até 24 para a Vlan Verde.
Repetindo o mesmo método com os outros 2 Switchs, teremos 3 switchs com as portas
designadas, nomeados e já funcionando, o passo seguinte é configurar o servidor DHCP para
atribuir os IP’s, pode se fazer isso a partir de um Windows Server de qualquer versão ou de um

Figura 4 Imagem Autoral


Server Linux:
De acordo com a imagem, podemos declarar o nome da “Pool”, o gateway padrão, o
DNS Server, pode-se colocar 8.8.8.8, ou deixar o padrão 0.0.0.0, logo depois o range inicial que
será atribuído, no caso, se começou em 172.20.0.0. Mas caso o IP venha a seguir uma ordem
incluindo o Servidor DHCP, se começa em 172.20.0.1, logo em seguida a máscara de rede e
número máximo de usuários, coloquei o número com base ao total somados de Hosts falado no
case.
Com isso, assim que se conectar um computador na rede, e mudar de Static para

Figura 5 Imagem Autoral


DHCP, ele terá automaticamente um ip no range determinado, o que é uma medida de organização

Figura 6 Imagem Autoral


excelente, já que é possível determinar certos ranges de ip para determinados setores usando-se as
politicas de grupo já presente no Windows Server.
Além de terem várias outras ferramentas que facilitaram o trabalho de manutenção
como o WSUS, ferramenta presente no Windows Server que possibilita a criação de uma rotina
para atualização dos computadores no Domínio.
Como mostra a foto anterior, caso o método seja adotado, além de criar um espaço
para respirar nos Switchs, já que um dos problemas era o sobre carregamento do único switch sendo
usado para mais de umas milhares de computadores ao mesmo tempo, também é possível haver
comunicação entre as diferentes VLan’s, seguindo o print de uma comunicação entre computadores
da mesma Vlan e de Vlan diferentes:

Figura 7 Imagem Autoral


Figura 8 Imagem Autoral

Figura 9 Imagem Autoral

Figura 10 Imagem Autoral

No caso entre o PC13 e o PC15, e logo em seguida entre computadores de Vlan’s


diferentes:
Comunicação entre o computador PC14 da Vlan Verde com a do PC17 da Vlan
Amarelo, e pode ir mais longe contatando a terceira Vlan Branca, na seguinte estrutura:

Figura 10 Imagem Autoral

Figura 11 Imagem Autoral

Outro print que mostra o comando ping sendo usado para contatar uma máquina de
uma Vlan diferente:
O método usado aliviaria o estresse no único switch, permitirá a comunicação entre
todas as Vlan’s e seria mais seguro, caso um switch caia, ou seja, comprometido. Também é
possível usar o método de Vlan Trunking, que é a possibilidade de transportar dado de mais de uma
Vlan no mesmo circuito, nesse método os Switchs terão de possuir o suporte a identificação de
membros e dos formatos de quadros de Vlan’s, caso não possuam, a conexão não será propagada.
Caso se use o Trunking, é possível diminuir o número de Switches para 2, e usar o Trunk de Vlan 1,
2 entre os 2 e de Vlan 1,2,3 direto ou Router, é mais pratica e rápida de ser implementada, mas
como já falado antes, os equipamentos precisam ter as configurações requeridas.
2.2.1. A Segurança, a característica que mais deve ser levada em conta quando se
monta uma VLan, já que permite dispositivos de diferentes segmentos físicos e em uma
mesma VLan podem se comunicar sem que dispositivos físicos tenham acesso. Caso a VLan
possua um Router, o mesmo possui funcionalidades de filtragem, segurança e prioridade,
antes de chegarem ao destino, assim criando um lugar seguro para acessar os recursos da
rede.
Como exemplo, a segmentação da VLan criará um ambiente mais seguro, com ajuda
de switches, é possível criar uma VLan própria, que pode se comunicar com as outras em espaços
físicos diferentes, com a mesma segurança. Usando a mesma configuração da segunda foto do
ponto anterior, é possível acrescentar roteadores no esquema para facilitar a distribuição de
pacotes, e criar uma camada de segurança com os roteadores, pois os pacotes transferidos entre as
VLan’s teriam de passar pelos roteadores, é possível criar filtros e regras em cada VLan, usando as
políticas, o que deixa ainda mais seguro. E como citado na questão passada, é possível fazer
Trunking entre um Router e um Switch, deixando assim duas Vlan’s pelo mesmo canal, usando
somente 1 Router e 1 switch, como na seguinte imagem:

Figura 12 Imagem Autoral

Esse método é conhecido como Router-on-a-Stick, e é só um dos possíveis métodos de se


configurar. O uso do Router atua como uma camada de proteção que vai filtrar os pacotes de dados
enviados entre os computadores, deixando assim mais seguro, é possível acrescentar no mesmo
modelo do método passado, da seguinte maneira:

Figura 13 Imagem Autoral


O Router será conectado no primeiro Switch, neste mesmo método é possível aplicar
Trunking, o uso do Router também serve como estabilizador quando houver pico de uso na rede, e
para outras necessidades que possam vir a ser requisitadas.

2.3 DESCRIÇÃO DOS CRÍTERIOS E VALORES


 O primeiro passo de todos, seria resetar as VLan’s atuais, e requisitar pelo menos
mais um ou dois Switchs, e o mesmo para roteadores, e um hub que ficaria responsável pelo
endereçamento na range determinada no case. Logo depois, nos Switchs, se definiria o range das
portas usadas, pode se usar o comando VLan 2, para criar a VLan no switch, em seguida “NAME”
para nomear, e o comando “interface range fa0/1 – 8” seguido de “switchport access VLan 2”,
assim se determina quais portas serão usadas para acessar tal VLan.

 Uso do roteamento estático, e do protocolo 802.1Q, Vlan, mais o aprofundamento


em outros protocolos, ou usos para o protocolo usado como o uso do Vlan Trunking.

 Endereçamento e mascaramento de rede usando o Servidor DHCP para distribuir


num range pré-determinado de IP’s, incluindo a mudança de Static para DHCP nos computadores
que serão colocados no domínio e em contado com o switch, podendo ser incluindo na GPO do
domínio.

 A comunicação entre as 3 Vlan’s é possível, e foi demonstrada, sendo possível pela


conexão Trunking e pela determinação de portas das Vlan’s.

 A configuração do switch gerenciável foi apresentada, como criar uma Vlan além
da secundaria, como nomear, atribuição de portas em range.

 Os comandos do CLI dentro do Switch, como “int range f0/x-y”, sendo x o começo
das portas e y a porta final a ser selecionada, e o comando de atribuição “Switchport Access
NomeVlan”.

 A análise de tráfego foi feita a partir do uso da ferramenta Packet Tracer, e do


prompt de comando nativo do Windows, para verificar comunicação entre computadores de
mesma Vlan ou de Vlan’s diferentes por meio do comando “ping” por exemplo.
REFERÊNCIA

Sousa, Orlando, Nuno Pereira. VLAN (Virtual Local Area Network). Disponível em:
http://www.dei.isep.ipp.pt/~npereira/aulas/asist/07/misc/aula8.pdf. Acesso em 17 ago. 2020.

Zacker, Craig, Paul Doyle. Redes de Computadores: Configuração, Manutenção e
Expansão. São Paulo: Makron Books, 2000. 1056 p. ISBN 8534609152.

Cisco Systems Inc. Conhecimentos Básicos de Redes (CCNA 1).

Moraes, Igor Monteiro. VLANs  Redes Locais Virtuais. Disponível em:
http://www.gta.ufrj.br /grad/02_2/vlans/. Acesso em 17 ago. 2020.

Forouzan, Behrouz A. Comunicação de Dados e Redes de Computadores. 3ª ed. Porto
Alegre: Bookman, 2006. 840 p. ISBN 8536306149.

Barros, Odair Soares. Segurança de redes locais com a implementação de VLANS –
O caso da Universidade Jean Piaget de Cabo Verde. Disponível em:
https://www.yumpu.com/pt/document/read/51111610/implementaaao-de-uma-vlan-universidade-jean-piaget-de-
cabo-. Acesso em 17 ago. 2020.

KUROSE, James F.; ROSS, Keith W.; ZUCCHI, Wagner Luiz. Redes de Computadores e a Internet: uma
abordagem top-down. Pearson Addison Wesley, 2007.

Você também pode gostar